Millones de estudiantes y educadores confían todos los días en Canvas, una plataforma de gestión de aprendizaje operada por Instructure, para enviar tareas, revisar calificaciones, comunicarse con instructores y realizar exámenes. Pero en mayo de 2026, un ataque de ransomware interrumpió la plataforma y los hackers robaron información de los estudiantes.

La situación aún se está desarrollando, pero los estudiantes, padres y profesores deben comprender qué sucedió y tomar algunas medidas prácticas para mantenerse seguros en línea.

¿Qué pasó en el ciberataque a Canvas? 

La empresa matriz de Canvas, Instructure, confirmó que los hackers obtuvieron acceso no autorizado a los sistemas conectados a la plataforma de aprendizaje en línea. El ataque dejó temporalmente fuera de línea algunas partes de Canvas, lo que impidió que una gran cantidad de estudiantes y educadores accedieran a sus cursos durante la temporada de exámenes finales. Aunque la plataforma volvió a estar en línea, los hackers lograron descargar datos de los estudiantes.  

Un grupo de hackers conocido como ShinyHunters se atribuyó la responsabilidad de la filtración. Según los informes, el grupo amenazó con filtrar datos conectados a miles de escuelas y millones de usuarios a menos que se pagara un rescate. Los hackers vulneraron Canvas mediante el envío de código malicioso a los representantes de soporte de la plataforma.  

Más tarde, Instructure anunció que había llegado a un acuerdo con los atacantes y recibió lo que describió como una "confirmación digital" de que los datos robados habían sido eliminados. Sin embargo, no hay manera de garantizar que la información robada se destruya de forma permanente una vez que ha sido sustraída; por esta razón, generalmente recomendamos no pagar un rescate. 

Según la empresa, la información expuesta pudo haber incluido: 

• Nombres 

• Direcciones de correo electrónico 

• Números de identificación de estudiantes 

• Mensajes enviados a través de Canvas (como entre estudiantes o entre estudiantes y profesores) 

Instructure declaró que no encontró pruebas de que las contraseñas, fechas de nacimiento, identificaciones gubernamentales o información financiera se hayan visto comprometidas. Sin embargo, es una buena idea asumir que los hackers pueden haber obtenido más de lo que pensamos inicialmente; cambiar la contraseña y monitorear cargos extraños siempre es una buena idea.   

Incluso con la información que tienen, los delincuentes aún pueden dar un mal uso a estos datos personales básicos en estafas de phishing, intentos de suplantación de identidad y otros ataques de ingeniería social. 

Qué deben hacer los estudiantes, padres y profesores 

No es necesario entrar en pánico, pero es un buen momento para aumentar su nivel de alerta.

Tenga cuidado con los mensajes de phishing 

Sea cauteloso con correos electrónicos, mensajes de texto o llamadas inesperadas que mencionen la filtración de Canvas. Los estafadores pueden intentar generar una sensación de urgencia alegando que su cuenta necesita verificación o que su información ha sido expuesta. La Comisión Federal de Comercio advirtió que los estafadores pueden aprovechar las noticias de la filtración para enviar correos electrónicos o mensajes de texto falsos que parecen provenir de las escuelas o de los equipos de soporte de Canvas. 

Nunca haga clic en enlaces ni descargue archivos adjuntos de mensajes sospechosos, ni responda a ellos. Ni siquiera haga clic en el botón "darse de baja". Si no está seguro de si un mensaje es legítimo, comuníquese directamente con su escuela o con Canvas utilizando la información de contacto oficial.

Cambie sus contraseñas 

A pesar de que Instructure dijo que las contraseñas no se vieron comprometidas, recomendamos cambiar su contraseña de Canvas como una precaución inteligente. Es posible que también desee cambiar la contraseña de su cuenta universitaria. Esto es especialmente importante si reutiliza contraseñas en varias cuentas, ¡un hábito que debería erradicar! 

Cree contraseñas seguras y únicas para cuentas importantes y utilice un administrador de contraseñas. Una contraseña segura tiene al menos 16 caracteres, se utiliza para una sola cuenta y es una cadena de caracteres aleatoria y compleja.  

Muchas universidades exigen la autenticación de múltiples factores, pero usted debería habilitarla para cada cuenta. Recomendamos utilizar una aplicación de MFA independiente y segura, como Duo o Google Authenticator.

Monitoree sus cuentas 

Esté atento a las cuentas escolares, bandejas de entrada de correo electrónico y otras cuentas en línea para detectar actividad sospechosa. Preste atención a los correos electrónicos de restablecimiento de contraseña, alertas de inicio de sesión o mensajes que no esperaba. Los padres deben hablar con los estudiantes sobre cómo funcionan las estafas y alentarlos a detenerse antes de responder a mensajes urgentes en línea. 

En general, recomendamos que congele su crédito en caso de que su número de Seguro Social sea robado en una filtración. Aunque no se ha mencionado que se hayan robado números de Seguro Social en la filtración de Canvas, es un buen hábito que se debe mantener. Se robaron nombres y fechas de nacimiento; estos se pueden usar en conjunto con un número de Seguro Social de otras filtraciones para intentar el robo de identidad. Congelar su crédito es gratis y puede descongelarlo brevemente cuando solicite un crédito.

Estudie seguro en línea 

Los ciberataques que afectan a escuelas y plataformas educativas son habituales hoy en día, pero la concientización y los buenos hábitos pueden marcar la diferencia. Ser escéptico ante cualquier mensaje entrante inesperado, mantener buenos hábitos de contraseña y habilitar funciones de seguridad puede ayudar a reducir el riesgo. Para obtener más consejos, suscríbase a nuestro boletín informativo gratuito por correo electrónico.